I-Worm/Dumaru.z

簡介

I-Worm/Dumaru.z（杜馬）病毒
蠕蟲病毒，通過傳送郵件傳播。病毒感染後會修改註冊表啟動項，並在系統複製多個病毒檔案，病毒還會竊取密碼和記錄鍵盤數據。
感染過程：
(1)如果病毒被執行，會生成以下檔案，其存路徑為：
System Tray = %Windir%\system32\L32x.exe
System Tray = %Windir%\system32\Vxd32v.exe
System Tray = %Windir%\Temp\Zip.tmp
System Tray = %Startup%\dllxw.exe
%windir% 是Windows 系統的安裝目錄，在不同系統下該目標表現可能不同，可能的有：c:\windows；c:\winnt 等，%Startup%為windows啟動資料夾,win98為C:\Windows\Start Menu\Programs\Startup。
（2）修改註冊表，並在啟動項：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
下添加：
"load32"="%System%\l32x.exe"
並修改
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon為：
"explorer.exe %Windir%\system32\vxd32v.exe"
(3)創建下列檔案：
1.%Windir%\Winload.log: 存儲病毒發現的郵件地址，病毒會給所有的郵件地址傳送病毒郵件。
2.%Windir%\Vxdload.log: 存儲密碼或者用戶點擊鍵盤信息。
3.%Windir%\Rundllx.sys: 存儲剪貼簿的數據。
(4)如果是win98/me/95系統，病毒修改System.ini如下：
【boot】
shell=explorer.exe %Windir%\%System%\vxd32v.exe
(5）搜尋C糟下的所有以為.htm/.html/.wab/.dbx/.tbb/.abd後綴的的檔案，將搜尋到的所以信箱地址存到Winload.log中。
(6)向Winload.log檔案中的郵件地址發信：
Subject: Important information for you. Read it immediately !
Message:
Hi !
Here is my photo, that you asked for yesterday.
Attachment: myphoto.zip

相關詞條

Trojan/Killav.u

I-Worm/Dumaru.z

Worm/P2P.Darby.b

Trojan/TalkStocks

Backdoor/Cult.b

IRC-Worm/Fagot